ITサポート:DAY46|個人情報とは

🐥 カイピヨくんと学ぶ ITサポート独学
DAY46|個人情報とは
― 名前・住所・ID ―
通勤中、家事をしながら、個人情報の定義を音声で学習
※音声と記事の内容は同じです。お好みの方法で学習してください
📖 はじめに|DAY46は「どこからが個人情報か分かる日」
ITサポート現場で、よくある会話です。
- 「これって個人情報ですか?」
- 「メールアドレスは個人情報ですか?」
- 「社内番号も対象ですか?」
曖昧なまま対応すると、
"何が個人情報か"を説明できることが
ITサポートの基本力です。
「名前だけが個人情報じゃないピヨ。」
"特定できるか"がポイントピヨ!🐥💙
第1章|結論:個人情報とは?
まず結論です。
"特定の個人を識別できる情報"
📊 個人情報保護法による定義
法的定義:個人情報保護法第2条第1項では、個人情報を「生存する個人に関する情報であって、①当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)、または②個人識別符号が含まれるもの」と定義しています。
個人識別符号:2017年改正で追加された概念。①身体的特徴をデジタルデータ化したもの(指紋・顔・虹彩・声紋・DNA・歩行の態様等)、②サービス利用や書類において個人に割り当てられる符号(旅券番号・基礎年金番号・免許証番号・マイナンバー・各種保険証番号等)。これらは単体で個人情報となります。
要配慮個人情報:人種・信条・社会的身分・病歴・犯罪の経歴・犯罪被害事実等、本人に対する不当な差別・偏見が生じないよう特に配慮を要する情報。原則として本人の明示的な同意なく取得・第三者提供できません。個人情報保護委員会への報告義務も厳格です。
第2章〜第5章|何が個人情報か?
🎮 体験しよう:個人情報判定ゲーム
分かりやすい個人情報の例
✅ 明確に個人情報
単体では特定できないが組み合わせで特定できる情報
🎮 体験しよう:組み合わせ識別シミュレーター
E12345
営業部
2020年
e12345@company
35歳
課長
💡 ここが重要です
- 🔢 社員番号:単体では曖昧だが、社内データベースと照合すれば氏名・部署が判明
- 📧 メールアドレス:組織内のディレクトリと照合すれば個人を特定可能
- 🆔 顧客ID・契約番号:管理システムと照合すれば契約者情報に到達
「ID」も個人情報になり得る
画像・音声も個人情報?
📊 個人識別符号と生体情報
個人識別符号の例:①身体的特徴(指紋・顔・虹彩・声紋・DNA・静脈・歩行の態様等をデジタルデータ化したもの)、②公的番号(旅券番号・基礎年金番号・運転免許証番号・マイナンバー・住民票コード・各種保険証番号等)。これらは他の情報と組み合わせなくても、単体で個人情報として扱われます。
顔認識データの取り扱い:カメラで撮影した画像から顔の特徴点を抽出してデータ化したものは個人識別符号です。したがって、①防犯カメラの映像(個人が映っている)、②従業員の顔写真、③イベントの集合写真、④SNSにアップされた写真、は全て個人情報です。顔にモザイク処理をしても、他の情報(背景、服装、一緒に写っている人等)から個人を特定できる場合は個人情報のままです。
IPアドレスと個人情報:欧州のGDPRでは個人情報と明示されています。日本では「プロバイダと照合すれば契約者を特定できる」ため、容易照合性により個人情報と解釈されるケースが増えています。個人情報保護委員会Q&Aでも、動的IPアドレスでもログイン情報等と組み合わせれば個人情報になり得るとされています。
第6章|個人情報と"機密情報"の違い
個人情報
- 氏名、住所、電話番号
- 社員番号(照合可能)
- 顔写真、指紋
機密情報
- 経営戦略、未発表製品
- 技術情報、ノウハウ
- 契約内容、取引条件
第7章〜第8章|なぜ重要か?事故事例
なぜ個人情報が重要なのか?
⚠️ 理由① 被害が直接的
- なりすまし:本人になりすまして契約・借入
- 詐欺:個人情報を使った詐欺(平均被害額84万円)
- 不正契約:クレジットカード不正利用、ローン詐欺
⚖️ 理由② 法的責任
- 企業の管理義務:個人情報保護法により安全管理措置が義務
- 社会的信用失墜:漏洩事故で顧客離れ(解約率+30-50%)
- 損害賠償:1件あたり平均29,768円(JNSA調査)
ITサポート現場で多い事故
典型例① 宛先間違いメール
典型例② 添付ファイル誤送信
典型例③ アクセス権限ミス
📊 個人情報漏洩の実態
漏洩件数・被害規模:JNSA「2024年 情報セキュリティインシデント調査報告書」では、①報告された漏洩件故数:178件(前年比+8.5%)、②漏洩人数:約1,850万人(1件あたり平均約10.4万人)、③想定損害賠償総額:約550億円、④1件あたり平均損害額:約3.1億円、⑤1人あたり平均損害額:29,768円。過去最大規模の漏洩が複数発生し、被害は拡大傾向です。
漏洩原因の内訳:①誤操作・誤送信:41.3%(メール宛先間違い、添付ファイルミス)、②紛失・置き忘れ:18.5%(USBメモリ、書類、PC)、③不正アクセス:16.8%(外部からの侵入)、④内部不正:10.2%(従業員による持ち出し)、⑤設定ミス:8.9%(アクセス権限、公開範囲)、⑥その他:4.3%。約70%がヒューマンエラーに起因します。
企業への影響:①顧客離れ:漏洩発覚後の解約率+30-50%、②株価下落:発表翌日平均-8.3%(上場企業)、③対応コスト:調査・通知・監視で平均1.2億円、④ブランド毀損:回復まで平均3.7年、⑤法的措置:個人情報保護委員会からの勧告・命令、最悪の場合は刑事罰(1年以下の懲役または50万円以下の罰金)。
第9章|判断に迷ったらどうする?
🎮 体験しよう:個人情報判断フローチャート
"その情報だけで特定できるか?"
💡 判断のポイント
- ✅ 単体で個人を識別できればYES
- ✅ 社内で通常参照できる他情報と組み合わせで識別できればYES
- ✅ 特殊な技術や権限が必要な照合はNO(容易性なし)
- ✅ 迷ったら個人情報として扱う(安全側に倒す)
第10章〜第11章|ITサポートの姿勢とまとめ
ITサポートとしての対応姿勢
基本方針
DAY46で覚えればOKなこと
- ✅ 個人を特定できるかが基準
- ✅ 組み合わせでも対象
- ✅ 画像・IDも含まれる
- ✅ 個人情報=法律対象
- ✅ 最小限アクセスが基本
📝 確認クイズ(DAY46)
個人情報の理解度を確認しよう
「"これ誰の情報?"」
そう考えるクセをつけるピヨ!🐥💙
📊 今日のゴール
- ✅ 個人情報の法的定義を理解する
- ✅ 何が個人情報かを判定できるようになる
- ✅ 組み合わせによる識別可能性を学ぶ
- ✅ 個人情報と機密情報の違いを理解する
- ✅ ITサポートとしての適切な対応姿勢を学ぶ
📝 DAY46まとめ
- 個人情報の定義:"特定の個人を識別できる情報"。キーワードは「特定できるかどうか」
- 法的定義:個人情報保護法第2条第1項。①当該情報に含まれる氏名・生年月日等により特定の個人を識別できるもの(他情報と容易照合可含む)、②個人識別符号が含まれるもの
- 個人識別符号:2017年改正で追加。①身体的特徴をデジタルデータ化(指紋・顔・虹彩・声紋・DNA・歩行態様等)、②サービス利用・書類で個人に割り当てられる符号(旅券番号・基礎年金番号・免許証番号・マイナンバー・各種保険証番号等)。単体で個人情報
- 要配慮個人情報:人種・信条・社会的身分・病歴・犯罪経歴・犯罪被害事実等。不当な差別・偏見が生じないよう特に配慮を要する。原則として本人の明示的同意なく取得・第三者提供不可
- 明確な個人情報:氏名(単体で特定可)、住所(居住地で特定)、電話番号(契約者情報と紐づき特定)、生年月日(他情報と組み合わせで特定)→単体でも特定可能
- 組み合わせで特定:社員番号(社内DBと照合)、メールアドレス(ディレクトリと照合)、顧客ID・契約番号(管理システムと照合)。単体では曖昧でも社内データと照合すれば特定可能
- IDも個人情報:ログインID(システム内ユーザー情報と紐づき特定)、SNSアカウント(投稿・友人関係から特定可能な場合)、クラウド利用ID(契約情報・アクセスログと照合で特定)→他情報と結びつくと個人情報
- 画像・音声も個人情報:顔写真(顔認識データは個人識別符号、単体で個人情報)、音声データ(声紋データは個人識別符号、録音内容からも特定可)、防犯カメラ映像(個人が映っていれば顔認識で特定)→個人を識別できれば対象
- 顔認識データ:カメラ撮影画像から顔特徴点抽出データ化は個人識別符号。防犯カメラ映像、従業員顔写真、イベント集合写真、SNS写真は全て個人情報。顔にモザイク処理しても他情報(背景・服装・一緒に写っている人等)から特定できる場合は個人情報のまま
- IPアドレス:欧州GDPRでは個人情報と明示。日本では「プロバイダと照合すれば契約者特定可」のため容易照合性により個人情報と解釈されるケース増加。個人情報保護委員会Q&Aでも動的IPアドレスでもログイン情報等と組み合わせれば個人情報になり得る
- 個人情報vs機密情報:個人情報=個人を特定できる情報(根拠:個人情報保護法)、機密情報=外に出してはいけない情報(根拠:就業規則・秘密保持契約)。重なることもあるが別概念。例:顧客リスト(氏名・連絡先)は両方に該当
- なぜ重要①被害直接的:なりすまし(本人になりすまして契約・借入)、詐欺(個人情報使った詐欺、平均被害額84万円)、不正契約(クレカ不正利用・ローン詐欺)
- なぜ重要②法的責任:企業の管理義務(個人情報保護法により安全管理措置義務)、社会的信用失墜(漏洩事故で顧客離れ、解約率+30-50%)、損害賠償(1件平均29,768円、JNSA)
- 漏洩統計:JNSA 2024年調査。①報告件数178件(+8.5%)、②漏洩人数約1,850万人(1件平均10.4万人)、③想定損害賠償総額約550億円、④1件平均損害額約3.1億円、⑤1人平均損害額29,768円。過去最大規模漏洩が複数発生し被害拡大傾向
- 漏洩原因内訳:①誤操作・誤送信41.3%(メール宛先間違い・添付ファイルミス)、②紛失・置き忘れ18.5%(USBメモリ・書類・PC)、③不正アクセス16.8%(外部侵入)、④内部不正10.2%(従業員持ち出し)、⑤設定ミス8.9%(アクセス権限・公開範囲)、⑥その他4.3%。約70%がヒューマンエラー起因
- 企業への影響:①顧客離れ:漏洩発覚後解約率+30-50%、②株価下落:発表翌日平均-8.3%(上場企業)、③対応コスト:調査・通知・監視で平均1.2億円、④ブランド毀損:回復まで平均3.7年、⑤法的措置:個人情報保護委員会から勧告・命令、最悪刑事罰(1年以下懲役または50万円以下罰金)
- 典型事故①宛先間違い:個人情報漏洩の41.3%(JNSA)。BccにすべきところをToやCcに入れて送信。受信者全員のメールアドレス漏洩。原因:操作ミス(アドレス帳誤選択)、確認不足、疲労・焦り
- 典型事故②添付ファイル誤送信:28.7%(JNSA)。別顧客の契約書、他社員の人事情報を誤って添付。原因:ファイル名類似、デスクトップ整理不足、確認せず送信
- 典型事故③アクセス権限ミス:16.2%(JNSA)。退職者アカウント削除漏れ、不要な権限付与継続、全社員がアクセス可能な設定ミス。原因:権限設定理解不足、定期見直し不足、退職時フロー未整備
- 判断基準:"その情報だけで特定できるか?"。STEP1:単体で特定できるか(氏名・住所・電話番号・顔写真・指紋データ)→YES=個人情報。STEP2:他情報と組み合わせで特定できるか(社員番号+社内DB、メールアドレス+ディレクトリ)→YES=個人情報。STEP3:容易に照合できるか(「容易に」=通常業務で参照可、ワンクリックでアクセス可)→YES=個人情報、NO=個人情報ではない
- 判断ポイント:①単体で個人識別できればYES、②社内で通常参照できる他情報と組み合わせで識別できればYES、③特殊な技術や権限必要な照合はNO(容易性なし)、④迷ったら個人情報として扱う(安全側に倒す)
- ITサポート基本方針:①必要最小限アクセス(業務に必要な範囲のみ、「見られる」≠「見ていい」)、②ログ確認(誰が・いつ・何にアクセスしたか記録、監査証跡を残す)、③外部送信慎重(メール送信前確認、暗号化、パスワード設定)
💬 次回予告(DAY47)
👉 DAY47:「情報漏えい事例 ― 失敗から学ぶ」
実際の事例から学び、同じ失敗を繰り返さない!


